Confira !!
Uma atualização que resolve 6 vulnerabilidades e tem duas correções já está disponível.
Atualização de segurança do openSUSE: atualização de segurança para roundcubemail
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 1516-1
Avaliação: moderada
Referências: # 1115718 # 1115719 # 1146286 # 1171040 # 1171148
# 1171149 # 1173792 # 1175135
Referências cruzadas: CVE-2019-10740 CVE-2020-12625 CVE-2020-12640
CVE-2020-12641 CVE-2020-15562 CVE-2020-16145
Produtos afetados:
openSUSE Leap 15.2
openSUSE Leap 15.1
Backports do openSUSE SLE-15-SP2
Backports do openSUSE SLE-15-SP1
______________________________________________________________________________
Uma atualização que resolve 6 vulnerabilidades e tem duas correções
está agora disponivel.
Descrição:
Esta atualização para roundcubemail corrige os seguintes problemas:
roundcubemail foi atualizado para 1.3.15
Esta é uma atualização de segurança para a versão 1.3 do LTS. (boo # 1175135)
* Segurança: Corrija cross-site scripting (XSS) por meio de mensagens HTML com
conteúdo SVG malicioso [CVE-2020-16145]
* Segurança: Corrija cross-site scripting (XSS) por meio de mensagens HTML com
conteúdo matemático malicioso
De 1.3.14 (boo # 1173792 -> CVE-2020-15562)
* Segurança: Corrija cross-site scripting (XSS) por meio de mensagens HTML com
svg / namespace malicioso
De 1.3.13
* Instalador: corrige a regressão na seção de teste SMTP (# 7417)
De 1.3.12
* Segurança: Melhor correção para CVE-2020-12641 (boo # 1171148)
* Segurança: Corrija o problema de XSS no objeto de modelo 'nome de usuário' (# 7406)
* Segurança: Corrija alguns problemas de XSS no instalador (# 7406)
* Segurança: Corrija cross-site scripting (XSS) por meio de anexo XML malicioso
De 1.3.11 (boo # 1171148 -> CVE-2020-12641 boo # 1171040 -> CVE-2020-12625
boo # 1171149 -> CVE-2020-12640)
* Enigma: corrige a compatibilidade com Mail_Mime> = 1.10.5
* Corrija as permissões em algumas pastas criadas por bin / install-jsdeps.sh
script (# 6930)
* Correção de bug onde as imagens embutidas poderiam ter sido ignoradas se Content-Id
cabeçalho continha espaços redundantes (# 6980)
* Corrigir Aviso de PHP: Uso de constante indefinida LOG_EMERGE (# 6991)
* Corrigir o aviso do PHP: "array_merge (): Parâmetro 2 esperado para ser um array,
null fornecido em sendmail.inc (# 7003)
* Segurança: corrige o problema de XSS no tratamento de CDATA em mensagens HTML
* Segurança: Corrija a execução remota de código via 'im_convert_path' criado ou
Configurações de 'im_identify_path'
* Segurança: Corrija a inclusão de arquivo local (e execução de código) por meio de
opção 'plugins'
* Segurança: Corrigir bypass CSRF que poderia ser usado para sair de um
usuário autenticado (# 7302)
De 1.3.10 (boo # 1146286)
* Managesieve: Corrija para que a opção "Criar filtro" não apareça quando
O menu de filtros está desativado (# 6723)
* Enigma: Correção de bug em que usuários / chaves revogados não ficavam esmaecidos na chave
informação
* Enigma: corrige a mensagem de erro ao tentar criptografar com uma chave revogada
(# 6607)
* Enigma: Correção do bug "oráculo de descriptografia" [CVE-2019-10740] (# 6638)
* Correção da compatibilidade com kolab / net_ldap3> 1.0.7 (# 6785)
* Correção de bug em que imagens bmp não podiam ser exibidas em alguns sistemas (# 6728)
* Correção de bug na análise de dados vCard usando PHP 7.3 devido a um regexp inválido
(# 6744)
* Correção de bug em que texto em negrito / forte era convertido em maiúsculas em
conversão de html para texto (6758)
* Correção de bug em rcube_utils :: parse_hosts () onde% t,% d,% z poderia retornar
apenas tld (# 6746)
* Corrigir bug onde o botão Próximo / Anterior na visualização de e-mail não funcionava
resultado da pesquisa de várias pastas (# 6793)
* Corrigir bug em que a seleção de colunas na lista de mensagens não estava funcionando
* Correção de bug na conversão de imagens Tiff de várias páginas para Jpeg (# 6824)
* Corrija a ordem errada das mensagens depois de retornar a uma pesquisa em várias pastas
resultado (# 6836)
* Corrigir a depreciação do PHP 7.4: implode () ordem de parâmetro errada (# 6866)
* Corrigir bug onde era possível ignorar a posição: verificação CSS corrigida
nas mensagens recebidas (# 6898)
* Correção de bug onde alguns URIs remotos estritos no estilo url () eram
bloqueado involuntariamente (# 6899)
* Corrigido bug onde era possível contornar a prisão CSS em mensagens HTML
using: root pseudo-class (# 6897)
* Correção de bug em que era possível ignorar a verificação de URI href com
data: application / xhtml + xml URIs (# 6896)
De 1.3.9 (boo # 1115718)
* Corrigir o local de download do TinyMCE (# 6694)
* Corrigido bug onde uma mensagem / rfc822 part sem um nome de arquivo não estava listada
na lista de anexos (# 6494)
* Correção do tratamento de entradas vazias na importação de vCard (# 6564)
* Correção de bug na análise de algumas respostas de comando IMAP que incluem
respostas não solicitadas (# 6577)
* Corrige a compatibilidade do PHP 7.2 no plugin debug_logger (# 6586)
* Correção para que QUALQUER registro não seja usado para validação de domínio de e-mail, use A, MX,
CNAME, AAAA em vez (# 6581)
* Correção para que a verificação de mime_content_type no instalador use arquivos que deveriam
estar sempre disponível (ou seja, do programa / recursos) (# 6599)
* Corrigir token CSRF ausente em um link para baixar parte da mensagem muito grande
(# 6621)
* Corrigir bug ao abortar arrastar com a tecla ESC não parava o movimento
ação (# 6623)
* Corrigido bug onde a próxima linha não foi selecionada após a exclusão de um recolhido
discussão (# 6655)
De 1.3.8
* Corrigir avisos de PHP em respostas fictícias de QUOTA no Courier-IMAP 4.17.1
(# 6374)
* Correção para que o fallback de BINARY para BODY FETCH seja usado também em [PARSE]
erros no dovecot 2.3 (# 6383)
* Enigma: corrige a exclusão de chaves com subchaves de autenticação (# 6381)
* Corrigir expressões regulares inválidas que lançam avisos no PHP 7.3 (# 6398)
* Correção para que o divisor de pele clássico não escape da janela (# 6397)
* Corrigir problema de XSS ao lidar com conteúdo de tag de estilo inválido (# 6410)
* Correção de compatibilidade com MySQL 8 - erro no uso da tabela 'sistema'
* Managesieve: Corrigir bug em que a configuração show_real_foldernames não era
respeitado (# 6422)
* New_user_identity: corrige a substituição de% fu /% u vars no LDAP específico do usuário
params (# 6419)
* Correção do suporte para "permitir de opção de configuração "in" x_frame_options "
(# 6449)
* Corrigir bug onde o conteúdo válido entre os comentários HTML poderia estar
pulado em alguns casos (# 6464)
* Corrigir pesquisa de vários campos VCard (# 6466)
* Corrigir problema de sessão em solicitações de longa duração (# 6470)
De 1.3.7 (boo # 1115719)
* Corrigir aviso de PHP: uso de constante indefinida IDNA_DEFAULT em sistemas
sem php-intl (# 6244)
* Correção de bug onde algumas partes das informações de cota poderiam ter sido ignoradas
(# 6280)
* Correção de bug em que algumas sequências de escape em estilos html poderiam ser ignoradas
verificações de segurança
* Correção de bug onde alguns caracteres proibidos no Cyrus-IMAP não eram
impedido de usar em nomes de pastas
* Correção de bug onde apenas anexos com o mesmo nome seriam ignorados em
download zip (# 6301)
* Correção de bug onde nomes de contato Unicode podem ter sido quebrados / esvaziados ou
causou erros de banco de dados (# 6299)
* Corrigir bug onde após "marcar todas as pastas como lidas" contadores de mensagem de ação
não foram redefinidos (# 6307)
* Enigma: [EFAIL] Não descriptografe mensagens PGP sem proteção MDC
(# 6289)
* Correção de bug em que alguns comentários HTML podem ter sido malformados por HTML
analisador (# 6333)
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.2:
zypper em patch -t openSUSE-2020-1516 = 1
- openSUSE Leap 15.1:
zypper em patch -t openSUSE-2020-1516 = 1
- Backports do openSUSE SLE-15-SP2:
zypper em patch -t openSUSE-2020-1516 = 1
- Backports do openSUSE SLE-15-SP1:
zypper em patch -t openSUSE-2020-1516 = 1
Lista de Pacotes:
- openSUSE Leap 15.2 (noarch):
roundcubemail-1.3.15-lp152.4.3.1
- openSUSE Leap 15.1 (noarch):
roundcubemail-1.3.15-lp151.3.3.1
- Backports do openSUSE SLE-15-SP2 (noarch):
roundcubemail-1.3.15-bp152.4.3.1
- Backports do openSUSE SLE-15-SP1 (noarch):
roundcubemail-1.3.15-bp151.4.3.1
Referências:
https://www.suse.com/security/cve/CVE-2019-10740.html
https://www.suse.com/security/cve/CVE-2020-12625.html
https://www.suse.com/security/cve/CVE-2020-12640.html
https://www.suse.com/security/cve/CVE-2020-12641.html
https://www.suse.com/security/cve/CVE-2020-15562.html
https://www.suse.com/security/cve/CVE-2020-16145.html
https://bugzilla.suse.com/1115718
https://bugzilla.suse.com/1115719
https://bugzilla.suse.com/1146286
https://bugzilla.suse.com/1171040
https://bugzilla.suse.com/1171148
https://bugzilla.suse.com/1171149
https://bugzilla.suse.com/1173792
https://bugzilla.suse.com/1175135
-
Até a próxima !!
Nenhum comentário:
Postar um comentário